據(jù)外媒報(bào)道,現(xiàn)在一款可偽裝成百度的安卓客戶端安卓木馬正在肆虐,該木馬被稱為“Switcher”。用戶一旦下載安裝攜帶該木馬的惡意軟件,它就會(huì)篡改用戶的無(wú)線路由器DNS設(shè)置,劫持用戶的網(wǎng)絡(luò)流量。
偽裝成百度安卓APP的木馬可劫持路由流量
除了偽裝成百度的安卓客戶端,該木馬還能偽裝成一個(gè)用于共享Wi-Fi網(wǎng)絡(luò)詳細(xì)信息的中文應(yīng)用程序,誘導(dǎo)普通用戶下載安裝。
該木馬病毒中含有常用的用戶名和密碼組合列表,如admin/admin等,據(jù)此會(huì)嘗試猜測(cè)受感染安卓設(shè)備所處無(wú)線網(wǎng)絡(luò)中的路由器用戶名和密碼。一旦猜中就會(huì)訪問(wèn)路由器的Web管理界面,進(jìn)而修改路由器DNS設(shè)置。
中招該木馬病毒后會(huì)被暴力破解路由器的用戶名和密碼
目前根據(jù)輸入字段的硬編碼名稱和木馬嘗試訪問(wèn)的HTML文檔的結(jié)構(gòu)來(lái)看,所使用的JavaScript代碼僅適用于TP-LINK無(wú)線路由器的Web界面,當(dāng)然不排除其他品牌路由器也會(huì)受該惡意軟件的影響。攻擊者宣稱,目前已控制了近1300個(gè)無(wú)線網(wǎng)絡(luò),受害者主要在中國(guó)。
由于中招后,該木馬可劫持路由流量,將會(huì)導(dǎo)致用戶遭受到諸如網(wǎng)絡(luò)釣魚的二次攻擊。而該木馬在篡改無(wú)線路由器DNS設(shè)置的同時(shí),更會(huì)強(qiáng)制植入流氓DNS服務(wù)器的IP地址,即使用戶重置路由器也會(huì)生效,這讓該木馬的危害性進(jìn)一步提高,急需引起廣大網(wǎng)絡(luò)用戶的注意。